Sphaira Tech
Legal · B2B

Acordo de Tratamento de Dados

Data Processing Agreement (DPA) — Art. 28 RGPD

Versão 1.0 · Última atualização: 1 de junho de 2026

O presente Acordo de Tratamento de Dados (doravante, “DPA” ou “Acordo”) regula o tratamento de dados pessoais realizado pela Sphaira Group em nome dos clubes desportivos e entidades que contratam os seus serviços, em conformidade com a Lei Federal suíça de Proteção de Dados (LPD/nLPD) e, para os utilizadores residentes na União Europeia, com o artigo 28.º do Regulamento (UE) 2016/679 (RGPD).

Este Acordo é automaticamente incorporado e faz parte dos Termos e Condições da Sphaira Group. Ao contratar ou utilizar os serviços da Sphaira Group, o Clube aceita os termos do presente DPA.

1. Partes do Acordo

1.1. Subcontratante (Encarregado do Tratamento)

  • Designação: Sphaira Group, Inh. Alejandro Espinosa Lopez
  • Forma jurídica: Empresa individual
  • UID: CHE-268.913.191
  • CH-ID: CH-217-3595382-1
  • Morada: Rue Pierre-Ardieu 30, 1630 Bulle, Suíça
  • Email: info@sphairatech.com
  • Papel RGPD: Subcontratante (Art. 28.º RGPD)

1.2. Responsável pelo Tratamento

O clube desportivo, academia, associação ou qualquer entidade que contrate os serviços da Sphaira Group (doravante, “o Clube” ou “o Responsável”), identificado pelos dados fornecidos no momento do registo na plataforma.

  • Papel RGPD: Responsável pelo Tratamento (Art. 24.º RGPD)

2. Objeto, Natureza e Duração

A Sphaira Group tratará dados pessoais em nome do Clube com a finalidade exclusiva de prestar os serviços de gestão desportiva contratados, que incluem:

  • Gestão de jogadores, equipas, treinadores e pessoal do clube
  • Administração de documentação desportiva e médica
  • Gestão de pagamentos, quotas e faturação
  • Comunicações internas do clube (notificações push, mensagens)
  • Planeamento de treinos, convocatórias e calendário
  • Análise de estatísticas e desempenho desportivo
  • Armazenamento e análise de vídeo desportivo
  • Funcionalidades de inteligência artificial (análise tática, relatórios)
  • Scouting e avaliação de jogadores

O presente Acordo vigora durante todo o período em que o Clube mantenha a sua relação contratual com a Sphaira Group, e extingue-se no final dessa relação, com as obrigações de supressão ou devolução de dados previstas na cláusula 10.

3. Categorias de Dados Pessoais e Titulares dos Dados

Categoria de titularesTipos de dados tratados
Jogadores adultos (≥18 anos)Nome, apelidos, data de nascimento, email, telefone, morada, documento de identificação, fotografia de perfil, dados desportivos (posição, número, equipa), estatísticas de desempenho, presença, dados de saúde (lesões, revisões médicas), dados de faturação
Jogadores menores de idade (<18 anos)Nome, apelidos, data de nascimento, fotografia, dados desportivos, dados de saúde desportiva, dados do tutor legal. Tratados exclusivamente através dos tutores legais
Treinadores e staff técnicoNome, apelidos, email, telefone, fotografia, credenciais, papel no clube, histórico de atividade na plataforma
Pais / tutores legaisNome, apelidos, email, telefone, relação com o menor, dados de pagamento (processados pela Stripe)
Administradores do clubeNome, apelidos, email, telefone, papel, credenciais de acesso, histórico de atividade administrativa

Categorias especiais de dados (Art. 9.º RGPD): A Sphaira Group pode tratar dados de saúde (lesões, revisões médicas, alergias) em nome do Clube, apenas quando o Clube tenha obtido o consentimento explícito do titular ou do seu tutor legal (Art. 9.º, n.º 2, al. a) RGPD).

4. Instruções do Responsável pelo Tratamento

A Sphaira Group tratará os dados pessoais apenas de acordo com as instruções documentadas do Clube e não os utilizará para fins próprios alheios à prestação do serviço contratado, salvo obrigação legal em contrário.

As instruções do Clube são transmitidas através de:

  • A configuração da plataforma realizada pelo administrador do Clube
  • As funcionalidades ativadas ou desativadas pelo Clube no seu painel de administração
  • Comunicações escritas enviadas para info@sphairatech.com

Se a Sphaira Group considerar que alguma instrução do Clube viola o RGPD ou outra legislação aplicável, informará o Clube de imediato.

5. Obrigações da Sphaira Group como Subcontratante

A Sphaira Group compromete-se a:

5.1. Confidencialidade

  • Garantir que as pessoas autorizadas a tratar dados pessoais se comprometeram a guardar sigilo ou estão sujeitas a obrigações legais de confidencialidade.
  • Não divulgar os dados do Clube a terceiros sem instrução ou autorização do Responsável, exceto quando exigido por lei.

5.2. Medidas de segurança técnicas e organizativas

Implementar medidas de segurança adequadas nos termos do Art. 32.º RGPD, incluindo as descritas na Política de Privacidade — Secção 10:

  • Ciframento em trânsito (HTTPS/TLS) e em repouso (AES-256)
  • Autenticação segura com hash bcrypt e tokens JWT
  • Controlo de acesso baseado em funções (RBAC)
  • Tokenização de dados de pagamento (PCI-DSS Nível 1 via Stripe)
  • Dados biométricos armazenados exclusivamente no dispositivo do utilizador

5.3. Assistência no exercício de direitos dos titulares

Prestar assistência ao Clube, mediante medidas técnicas e organizativas adequadas, no cumprimento da sua obrigação de responder a pedidos de exercício de direitos por parte dos titulares (acesso, retificação, apagamento, portabilidade, limitação, oposição).

Quando um titular dirija um pedido diretamente à Sphaira Group, reencaminharemos para o Clube sem demora injustificada.

5.4. Assistência em obrigações de segurança

Auxiliar o Clube a garantir o cumprimento de:

  • Obrigações de segurança do tratamento (Art. 32.º RGPD)
  • Notificação de violações de dados à autoridade supervisora (Art. 33.º RGPD)
  • Comunicação de violações de dados aos titulares afetados (Art. 34.º RGPD)
  • Realização de Avaliações de Impacto sobre a Proteção de Dados (AIPD) quando necessário (Art. 35.º RGPD)

5.5. Notificação de violações de dados pessoais

A Sphaira Group notificará o Clube, sem demora injustificada e em todo o caso no prazo máximo de 72 horas após ter conhecimento, de qualquer violação de dados pessoais que afete os dados do Clube, nos termos do Art. 33.º RGPD.

A notificação será enviada para o endereço de email do administrador do Clube registado na plataforma e incluirá, no mínimo: descrição da natureza da violação, categorias e número aproximado de titulares afetados, consequências prováveis e medidas tomadas ou propostas.

5.6. Disponibilização de informações e auditorias

A Sphaira Group disponibilizará ao Clube todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no Art. 28.º RGPD, e permitirá e contribuirá para a realização de auditorias e inspeções pelo Clube ou por um auditor por ele designado.

Os pedidos de auditoria devem ser submetidos com aviso prévio razoável (mínimo 30 dias de calendário) e por escrito para info@sphairatech.com. Os custos associados a auditorias presenciais serão suportados pelo Clube.

6. Obrigações do Clube como Responsável pelo Tratamento

O Clube, enquanto Responsável pelo Tratamento, compromete-se a:

  1. Ter obtido o consentimento informado dos titulares (ou dos seus tutores legais no caso de menores) antes de introduzir os seus dados na plataforma da Sphaira Group.
  2. Ter informado os titulares sobre o tratamento dos seus dados, incluindo a identidade e dados da Sphaira Group como subcontratante.
  3. Garantir que as instruções dadas à Sphaira Group para o tratamento de dados são conformes com o RGPD e demais legislação aplicável.
  4. Não introduzir na plataforma dados pessoais que não sejam estritamente necessários para a gestão desportiva do clube.
  5. Garantir que apenas o pessoal autorizado do clube acede à plataforma e aos dados dos titulares.
  6. Manter os dados dos titulares atualizados e gerir adequadamente os pedidos de exercício de direitos recebidos diretamente.
  7. Informar a Sphaira Group de imediato se tiver conhecimento de qualquer incidente que possa afetar a segurança dos dados.

7. Subcontratantes

O Clube autoriza a Sphaira Group a contratar os seguintes subcontratantes para a prestação dos serviços. A Sphaira Group garante que estes subcontratantes oferecem garantias suficientes de conformidade com o RGPD e que os contratos com eles incluem as mesmas obrigações de proteção de dados:

SubcontratantePaís / SedeFinalidadeGarantia de transferência
Stripe, Inc.EUAProcessamento de pagamentos e cobranças de quotasQuadro de Privacidade de Dados UE-EUA (DPF)
Firebase / Google LLCEUAEnvio de notificações pushQuadro de Privacidade de Dados UE-EUA (DPF)
OpenAI, Inc.EUAIA para análise tática e relatórios (dados pseudonimizados)Quadro de Privacidade de Dados UE-EUA (DPF) + DPA próprio
Backblaze, Inc.UE (eu-central)Armazenamento de vídeo desportivoDados alojados na UE
Google LLC (Gmail SMTP)EUAEnvio de emails transacionaisQuadro de Privacidade de Dados UE-EUA (DPF)
Resend, Inc.EUAEnvio de emails transacionaisQuadro de Privacidade de Dados UE-EUA (DPF)
Activa NetworkFrança (UE)Alojamento da base de dados principalDados alojados na UE (sem transferência internacional)

A Sphaira Group notificará o Clube com pelo menos 30 dias de antecedência de qualquer alteração prevista nos subcontratantes. O Clube pode opor-se a tais alterações enviando uma comunicação escrita para info@sphairatech.com no prazo de 15 dias após a notificação.

8. Transferências Internacionais de Dados

As transferências internacionais de dados realizadas pela Sphaira Group ou pelos seus subcontratantes baseiam-se em:

  • Quadro de Privacidade de Dados UE-EUA (DPF): reconhecido como adequado pela Comissão Europeia. Os fornecedores Stripe, Google, OpenAI e Resend estão certificados neste quadro.
  • Cláusulas Contratuais-Tipo (CCT): aprovadas pela Comissão Europeia (Decisão 2021/914) como garantia adicional ou alternativa quando aplicável.
  • Dados alojados na UE: a base de dados principal e os vídeos estão alojados em servidores na União Europeia.

Para os dados enviados à OpenAI aplica-se pseudonimização automática prévia: nomes de jogadores, treinadores, equipas e localizações são substituídos por tokens antes do envio, minimizando a exposição de dados identificáveis. Adicionalmente, a OpenAI compromete-se expressamente, através da sua Política de Utilização de Dados de API, a não utilizar os dados enviados através da API para treinar ou melhorar os seus modelos de inteligência artificial.

Tratamento de dados de menores com consentimento parental explícito: Quando o pai, mãe ou tutor legal de um jogador/a menor de idade tiver prestado o seu consentimento expresso e informado para o tratamento dos dados do menor mediante serviços de IA (nos termos do art. 8.º RGPD), a plataforma poderá transmitir o nome real do jogador/a à API da OpenAI com o fim exclusivo de personalizar a análise desportiva. Na ausência desse consentimento, os dados do jogador/a serão anonimizados em qualquer caso. O Clube é responsável por recolher e documentar este consentimento através dos mecanismos disponibilizados na plataforma durante o processo de registo do pai/tutor.

9. Prazo de Conservação dos Dados

A Sphaira Group conservará os dados pessoais do Clube durante o tempo estritamente necessário para a prestação dos serviços contratados. Os prazos concretos são os estabelecidos na Política de Privacidade — Secção 9.

Em nenhum caso os dados serão conservados para além do prazo máximo legalmente admissível para cada tipo de dados, salvo instrução expressa do Responsável em contrário e em conformidade com a lei.

10. Devolução ou Supressão de Dados no Final do Serviço

Uma vez terminada a relação contratual entre o Clube e a Sphaira Group:

  • Exportação de dados (até 90 dias após o cancelamento): o Clube pode solicitar a exportação de todos os seus dados em formato padrão (CSV, JSON ou PDF) nos 90 dias seguintes ao cancelamento do serviço, enviando o pedido para info@sphairatech.com.
  • Supressão definitiva: decorrido o período de exportação (ou antes se o Clube o solicitar expressamente), a Sphaira Group procederá à eliminação definitiva e irrecuperável de todos os dados pessoais do Clube dos seus sistemas, no prazo máximo de 30 dias.
  • Confirmação de supressão: a Sphaira Group enviará ao Clube uma confirmação escrita da supressão completa dos dados após a sua realização.
  • Conservação por obrigação legal: os dados que devam ser conservados por obrigação legal (ex.: dados financeiros durante 5 anos) não serão suprimidos, mas ficarão bloqueados e não serão utilizados para qualquer outro fim.

11. Responsabilidade

A Sphaira Group responderá perante o Clube pelo incumprimento das obrigações estabelecidas no presente DPA que lhe sejam diretamente imputáveis, nos termos e com os limites estabelecidos nos Termos e Condições — Secção 10.

O Clube responderá perante os titulares e as autoridades de supervisão pelo cumprimento das suas obrigações como Responsável pelo Tratamento, incluindo a obtenção de consentimentos válidos e a correta informação aos titulares.

12. Legislação Aplicável e Resolução de Conflitos

O presente DPA rege-se pela Lei Federal suíça de Proteção de Dados (LPD/nLPD) e, para os utilizadores residentes na União Europeia, pelo Regulamento (UE) 2016/679 (RGPD) e demais legislação suíça e europeia em matéria de proteção de dados.

Para a resolução de qualquer litígio decorrente do presente Acordo, as partes submetem-se à jurisdição dos Tribunais de Bulle (cantão de Friburgo), Suíça, sem prejuízo da competência do Encarregado Federal da Proteção de Dados e Transparência (PFPDT) como autoridade de controlo.

13. Contacto

Para qualquer questão relativa ao presente DPA ou ao tratamento de dados no âmbito dos serviços da Sphaira Group:

  • Email: info@sphairatech.com (assunto: “DPA / Acordo de Tratamento de Dados”)
  • Telefone: +41 78 347 2521
  • WhatsApp: +34 623 91 17 72
  • Morada postal: Rue Pierre-Ardieu 30, 1630 Bulle, Suíça

Este Acordo foi atualizado pela última vez em 1 de junho de 2026 (versão 1.0). Para consultar as nossas outras políticas:

Política de PrivacidadePolítica de CookiesTermos e CondiçõesAviso Legal